Proceso de adecuación

Una vez realizado el Plan de Adecuación, se pasa a la fase de implantación de la Seguridad. Esta fase consta de los siguientes pasos:

1. Hoja de ruta: documentos a elaborar, medidas técnicas a implementar y definir las prioridades.
2. Elaborar el Marco Normativo y la Implantación de la seguridad.
3. Aprobar el Sistema de Gestión de la Seguridad de la Información.

La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS se determinará según dos procedimientos distintos según se trate de categoría MEDIA y ALTA o BÁSICA:

• Categorías MEDIA o ALTA: La conformidad de los sistemas de información con estas categorías se realizará mediante una auditoría formal que verifique los requerimientos contemplados en el ENS, al menos cada dos años, o con carácter extraordinario si se producen modificaciones significativas.
• Categoría BÁSICA: La conformidad de los sistemas de información en esta categoría requiere de una autoevaluación que verifique su cumplimiento al menos cada dos años o, con carácter extraordinario si se producen modificaciones significativas. Este requisito para la conformidad no impide que un sistema de categoría BÁSICA se someta a una auditoría formal.

Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el Estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad):

• INES. Informe del Estado de la Seguridad en el ENS

La gestión de la seguridad de la información es un proceso sujeto a cambios constantes que pueden proceder de cambios en la organización, amenazas, tecnologías y/o legislación y por ello es necesaria una mejora continua de nuestros sistemas.

Esta actualización continua conllevará entre otras acciones:

• Revisión de la Política de Seguridad de la Información
• Revisión de la información y los servicios, y su categorización
• Actualización del análisis de riesgos, al menos anualmente
• Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento
• Realización de auditorías internas
• Revisión del Plan de Mejora
• Revisión de las medidas de seguridad
• Revisión y actualización de procedimientos
• Revisión del Estado de Seguridad (INÉS)

La Federación Española de Municipios y Provincias (FEMP), con la colaboración del Centro Criptológico Nacional, ha hecho público el Libro de recomendaciones: Itinerario de adecuación al Esquema Nacional de Seguridad (ENS) en el que se hace una descripción de las pautas, requisitos y pasos a seguir para conseguir definir una hoja de ruta personalizada para la adecuación al ENS de las entidades locales.

Son productos adecuados para su uso en sistemas bajo el alcance del ENS en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA). La calificación de un producto en una categoría permite su uso en las categorías inferiores.